Questa pagina è stata tradotta dall'API Cloud Translation.

Raccogliere i log di sistema Linux auditd e Unix

Supportato in:

Google SecOps SIEM

Questo documento descrive come raccogliere i log di sistema di Unix e del daemon di controllo (auditd) e come utilizzare il forwarder Google SecOps per importare i log in Google SecOps.

Le procedure descritte in questo documento sono state testate su Debian 11.7 e Ubuntu 22.04 LTS (Jammy Jellyfish).

Raccogliere i log da auditd e syslog

Puoi configurare gli host Linux in modo che inviino i log di auditd a un forwarder Google SecOps utilizzando rsyslog.

Esegui il deployment del daemon di controllo e del framework di smistamento dei controlli eseguendo il seguente comando. Se hai già eseguito il deployment del daemon e del framework, puoi saltare questo passaggio.
```
apt-get install auditd audispd-plugins
```
Per attivare la registrazione di tutti i comandi, inclusi quelli dell'utente e di root, aggiungi le seguenti righe a /etc/audit/rules.d/audit.rules:
```
-a exit,always -F arch=b64 -S execve
-a exit,always -F arch=b32 -S execve
```
Nota: se hai attivato i rivelazioni selezionate per le minacce Linux di Google SecOps, assicurati di utilizzare la configurazione di auditd appropriata.
Riavviare auditd eseguendo il seguente comando:
```
service auditd restart
```

Configurare il forwarder di Google SecOps per auditd

Nel forwarder Google SecOps, specifica il seguente tipo di dati:

  - syslog:
    common:
      enabled: true
      data_type: AUDITD
      batch_n_seconds:
      batch_n_bytes:
    tcp_address:
    connection_timeout_sec:

Per ulteriori informazioni, vedi Installare e configurare il forwarder Google SecOps su Linux.

Configura syslog

Verifica che i parametri nel file /etc/audisp/plugins.d/syslog.conf corrispondano ai seguenti valori:

active = yes
direction = out
path = /sbin/audisp-syslog
type = always
args = LOG_LOCAL6
format = string

Modifica o crea il file /etc/rsyslog.d/50-default.conf e aggiungi la seguente riga alla fine del file:
```
local6.* @@FORWARDER_IP:PORT
```
Sostituisci FORWARDER_IP e PORT con l'indirizzo IP e la porta del tuo forwarder. La prima colonna indica quali log vengono inviati da /var/log tramite rsyslog. Il @@ nella seconda colonna indica che viene utilizzato TCP per inviare il messaggio. Per utilizzare UDP, usa un @.
Per disattivare il logging locale in syslog, configura rsyslog aggiungendo local6.none alla riga che configura gli elementi da registrare in syslog locale. Il file è diverso per ogni sistema operativo. Per Debian il file è /etc/rsyslog.conf, mentre per Ubuntu è /etc/rsyslog.d/50-default.conf:
```
*.*;local6.none;auth,authpriv.none              -/var/log/syslog
```

Riavvia i seguenti servizi:

service auditd restart
service rsyslog restart

Raccogliere i log dei sistemi Unix

Crea o modifica il file /etc/rsyslog.d/50-default.conf e aggiungi la seguente riga alla fine del file:
```
*.*   @@FORWARDER_IP:PORT
```
Sostituisci FORWARDER_IP e PORT con l'indirizzo IP del tuo forwarder. La prima colonna indica quali log vengono inviati da /var/log tramite rsyslog. Il valore @@ nella seconda colonna indica che per l'invio del messaggio viene utilizzato TCP. Per utilizzare UDP, usa un @.
Esegui il seguente comando per riavviare il daemon e caricare la nuova configurazione:
```
sudo service rsyslog restart
```

Configura il forwarder di Google SecOps per i log Unix

Nel forwarder Google SecOps, specifica il seguente tipo di dati:

  - syslog:
    common:
      enabled: true
      data_type: NIX_SYSTEM
      batch_n_seconds:
      batch_n_bytes:
    tcp_address:
    connection_timeout_sec:

Per ulteriori informazioni, vedi Installare e configurare il forwarder Google SecOps su Linux.